Investigadores de ciberseguridad en Socket descubierto la extensión maliciosa de Chrome Crypto Copilot, que inyecta tarifas de transferencia ocultas de Solana en las transacciones de intercambio de Raydium en Chrome Web Store. Publicado por el usuario sjclark76 el 7 de mayo de 2024, la extensión tiene 12 instalaciones y permanece disponible para descargar. La extensión se presenta como una herramienta para operar con criptomonedas directamente en X, proporcionando información en tiempo real y una ejecución perfecta. Detrás de esta fachada, Crypto Copilot manipula transacciones basadas en Solana ejecutadas en Raydium, un intercambio descentralizado y creador de mercado automatizado construido sobre solana cadena de bloques. Cuando los usuarios inician un intercambio a través de Raydium, la extensión activa un código ofuscado que agrega una instrucción adicional a la transacción antes de que llegue a la etapa de firma del usuario. Esta instrucción inyectada consta de una Método SystemProgram.transferque dirige los fondos desde la billetera del usuario a una dirección codificada controlada por el atacante. El monto de la transferencia constituye un mínimo de 0,0013 SOL o 0,05 por ciento del valor comercial total, lo que sea mayor. Para los swaps que superan los 2,6 SOL, la tarifa aumenta a 2,6 SOL más el 0,05 por ciento del monto del swap. El investigador de seguridad de sockets, Kush Pandya, detalló el mecanismo en un informe publicado el martes, que afirma: «Detrás de la interfaz, la extensión inyecta una transferencia adicional en cada intercambio de Solana, desviando un mínimo de 0,0013 SOL o 0,05 % del monto de la transacción a una billetera codificada controlada por el atacante». Para evadir la detección, el código malicioso emplea técnicas de minificación y cambia el nombre de las variables, lo que dificulta el análisis del script. Los usuarios no encuentran ninguna indicación visible de esta alteración durante el proceso de transacción. La interfaz de usuario de la extensión muestra sólo los detalles del intercambio estándar, omitiendo cualquier referencia a la tarifa oculta. Como resultado, las personas generalmente aprueban la transacción sin ser conscientes de la deducción, a menos que revisen manualmente cada instrucción antes de firmar. Crypto Copilot se integra con un servidor backend en crypto-coplilot-dashboard.vercel.app, donde registra billeteras conectadas, recupera puntos e información de referencias y registra las actividades de los usuarios. El dominio asociado cryptocopilot.app no ofrece ningún producto real y funciona únicamente como infraestructura engañosa. La extensión refuerza aún más su apariencia de legitimidad al incorporar servicios de DexScreener para datos de mercado y Helius RPC para interacciones blockchain. El destino de los fondos desviados es una billetera personal, distinta de cualquier tesorería de protocolo, lo que complica la verificación del usuario. Pandya enfatizó esta sutileza y señaló: «Debido a que esta transferencia se agrega silenciosamente y se envía a una billetera personal en lugar de a una tesorería de protocolo, la mayoría de los usuarios nunca lo notarán a menos que inspeccionen cada instrucción antes de firmar». Añadió que la configuración general prioriza evadir el escrutinio de la plataforma y observó: «La infraestructura circundante parece diseñada sólo para pasar la revisión de Chrome Web Store y proporcionar una apariencia de legitimidad mientras desvía tarifas en segundo plano».
